米国証券取引委員会の新しいサイバーセキュリティ規則が施行されたことにより、セキュリティチームは重要業績指標(KPI)と重要リスク指標(KRI)の追跡と利用方法により厳格さを求められている。これらの指標を取締役会のリスクまたは監査委員会と共有することで、組織のサイバーセキュリティ能力とサイバーコントロールの効率を明らかにし、技術と人材への投資の適切さを評価するのに役立つ。
CISOとCIOの役割は、デジタルリスクの管理がデジタル変革に不可欠であるため、ますます重なり合っている。CIOはビジネスイノベーションを支援する技術の調達と活用を主に担当し、CISOはコンプライアンス要件の遵守、データ侵害による運用の中断防止、新たなサイバーセキュリティ脅威に対するリスクスコアの割り当てなど、運用上の主要なステークホルダーとなっている。この変化は、デジタル変革を成功させるために、これら二つのITリーダー間の協力と調整の重要性を強調している。
FCCは、通信およびVoIPプロバイダーに対し、発見から7日以内にFCC、FBI、シークレットサービスにデータ侵害を報告するよう義務付けた。また、個人を特定できる情報(PII)がサイバーインシデントに巻き込まれた場合、顧客へのデータ侵害通知を発行する必要がある。これにより、キャリアとサービスプロバイダーはPIIが露出した場合の透明性を高めることが求められる。
中東、トルコ、アフリカ(META)地域のサイバーセキュリティ市場は、AIの成長などの要因により、2024年には65億ドルに達すると予測されている。地政学的脅威、生成AIの成長、地域全体でのデータ保護規制の増加により、地域のCISOの3/4以上が今年の予算を少なくとも10%増やす計画である。
組織は、データ分析、サイバーセキュリティ、研究、マーケティングチームなど、さまざまな用途で生成AI(GenAI)ツールの使用に関心を持っている。セキュリティチームは、これらの活動を日常業務に組み込む方法を検討している。
Ivanti VPNは、重大なCVE、サイバー攻撃、遅延したパッチ適用により問題を抱えている。Ivantiは2024年までに5つのVPNの欠陥を公表しており、そのうちの2つはパッチが利用可能になる数週間前に公に発表された。専門家は、Ivantiの脆弱性の多さとインシデント対応の遅さをビジネスにとっての実存的脅威と見なしている。企業のサイバーチームは、Ivanti VPNアプライアンスを切断し、再接続前に更新するか、またはパッチ適用のために既にオフラインになっている間にIvantiアプライアンスを完全に更新された機器に交換するかを選択する必要がある。
【ニュース解説】
米国証券取引委員会(SEC)の新しいサイバーセキュリティ規則が施行されたことにより、セキュリティチームは、重要業績指標(KPI)と重要リスク指標(KRI)の追跡と利用方法により厳格さを求められています。これらの指標を取締役会のリスクまたは監査委員会と共有することで、組織のサイバーセキュリティ能力とサイバーコントロールの効率を明らかにし、技術と人材への投資の適切さを評価するのに役立ちます。
CISO(最高情報セキュリティ責任者)とCIO(最高情報責任者)の役割は、デジタルリスクの管理がデジタル変革に不可欠であるため、ますます重なり合っています。CIOはビジネスイノベーションを支援する技術の調達と活用を主に担当し、CISOはコンプライアンス要件の遵守、データ侵害による運用の中断防止、新たなサイバーセキュリティ脅威に対するリスクスコアの割り当てなど、運用上の主要なステークホルダーとなっています。この変化は、デジタル変革を成功させるために、これら二つのITリーダー間の協力と調整の重要性を強調しています。
FCC(連邦通信委員会)は、通信およびVoIP(Voice over Internet Protocol)プロバイダーに対し、発見から7日以内にFCC、FBI(連邦捜査局)、シークレットサービスにデータ侵害を報告するよう義務付けました。また、個人を特定できる情報(PII)がサイバーインシデントに巻き込まれた場合、顧客へのデータ侵害通知を発行する必要があります。これにより、キャリアとサービスプロバイダーはPIIが露出した場合の透明性を高めることが求められます。
中東、トルコ、アフリカ(META)地域のサイバーセキュリティ市場は、AIの成長などの要因により、2024年には65億ドルに達すると予測されています。地政学的脅威、生成AIの成長、地域全体でのデータ保護規制の増加により、地域のCISOの3/4以上が今年の予算を少なくとも10%増やす計画であることが示されています。
組織は、データ分析、サイバーセキュリティ、研究、マーケティングチームなど、さまざまな用途で生成AI(GenAI)ツールの使用に関心を持っています。セキュリティチームは、これらの活動を日常業務に組み込む方法を検討しています。
Ivanti VPNは、重大なCVE(Common Vulnerabilities and Exposures)、サイバー攻撃、遅延したパッチ適用により問題を抱えています。Ivantiは2024年までに5つのVPNの欠陥を公表しており、そのうちの2つはパッチが利用可能になる数週間前に公に発表されました。専門家は、Ivantiの脆弱性の多さとインシデント対応の遅さをビジネスにとっての実存的脅威と見なしています。企業のサイバーチームは、Ivanti VPNアプライアンスを切断し、再接続前に更新するか、またはパッチ適用のために既にオフラインになっている間にIvantiアプライアンスを完全に更新された機器に交換するかを選択する必要があります。
from CISO Corner: CIO Convergence, 10 Critical Security Metrics, & Ivanti Fallout.
